Microsoft выпустила внеплановые обновления для уязвимостей в Office и Paint 3D

Компания Microsoft выпустила важные обновления безопасности для Office, Office 365 ProPlus и Paint 3D, исправляющие недавно обнаруженные уязвимости в 3D-библиотеке Autodesk для файлов FBX. Уязвимости затрагивают продукты Microsoft с интегрированной библиотекой Autodesk FBX, в частности Microsoft Office 2016 Click-to-Run (C2R), Microsoft Office 2019 и Office 365 ProPlus для 32- и 64-разрядных версий, а также Paint 3D.

Хотя обновления от Microsoft отмечены как «важные», уязвимости в библиотеке Autodesk являются критическими, поскольку позволяют удаленно выполнить код. Речь идет об уязвимостях с идентификаторами CVE-2020-7080, CVE-2020-7081, CVE-2020-7082, CVE-2020-7083, CVE-2020-7084 и CVE-2020-7085. Для их эксплуатации злоумышленник должен отправить жертве вредоносный файл 3D FBX. Это даст ему возможность получить привилегии локального пользователя. Согласно уведомлению Microsoft, учетные записи с меньшими привилегиями на системе менее подвержены атаке с эксплуатацией этих уязвимостей, чем учетные записи администратора.

Производитель популярного ПО для автоматизированного проектирования AutoCAD компания Autodesk выпустила уведомление безопасности о вышеперечисленных уязвимостях на прошлой неделе. Согласно уведомлению, в сервисах с версией FBX-SDK 2020.0 или более ранней присутствуют уязвимости переполнения буфера, несоответствия используемых типов данных, использования памяти после высвобождения, целочисленного переполнения, переполнения кучи и разыменования нулевого указателя.

Уязвимости затрагивают следующие продукты Autodesk: AutoCAD, Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Infraworks и Navisworks. Уязвимость CVE-2020-7085 была обнаружена специалистом компании F-Secure Максом Ван Амеронгеном (Max Van Amerongen), который опубликовал видео ее эксплуатации в своем Twitter.